AWS Systems Manager コントロール - AWS Security Hub
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが になっている必要があります〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT〔SSM.4] SSMドキュメントは公開しないでください

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Systems Manager コントロール

これらのコントロールは、 AWS Systems Manager () によって管理される Amazon EC2インスタンスに関連していますSSM。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)NISTSA-3、NIST.800-53.r5 SI-2

カテゴリ: 識別 > インベントリ

重要度:

評価されたリソース: AWS::EC2::Instance

必要な AWS Config 記録リソース: AWS::EC2::InstanceAWS::SSM::ManagedInstanceInventory

AWS Config ルール : ec2-instance-managed-by-systems-manager

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、アカウントで停止および実行中のEC2インスタンスが によって管理されているかどうかを確認します AWS Systems Manager。Systems Manager は、インフラストラクチャの表示と制御 AWS サービス に使用できる です AWS 。

セキュリティとコンプライアンスを維持するために、Systems Manager は停止中および実行中のマネージドインスタンスをスキャンします。マネージドインスタンスとは、Systems Manager で使用するために設定されたマシンです。Systems Manager が検出したポリシー違反について報告または是正処置を講じます。Systems Manager は、マネージドインスタンスの設定と維持管理にも役立ちます。

詳細については、「AWS Systems Manager ユーザーガイド」を参照してください。

修正

Systems Manager でEC2インスタンスを管理するには、「 ユーザーガイド」の「Amazon EC2ホスト管理AWS Systems Manager 」を参照してください。[設定オプション] セクションでは、デフォルトの選択肢をそのまま使用することも、希望の設定に合わせて必要に応じて変更することもできます。

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが になっている必要があります

関連する要件: PCI DSS v3.2.1/6.2、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::SSM::PatchCompliance

AWS Config ルール : ec2-managedinstance-patch-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、インスタンスへのパッチインストール後、Systems Manager パッチコンプライアンスのコンプライアンスステータスが、COMPLIANTNON_COMPLIANT のどちらであるかをチェックします。コンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。このコントロールは、Systems Manager Patch Manager によって管理されているインスタンスのみをチェックします。

組織の必要に応じてEC2インスタンスにパッチを適用すると、 の攻撃対象領域が減少します AWS アカウント。

修正

Systems Manager では、パッチポリシーを使用して、マネージドインスタンスのパッチ適用を設定することを推奨しています。次の手順で説明するように、Systems Manager のドキュメントを使用してインスタンスにパッチを適用することもできます。

非準拠のパッチを修正するには

  1. で AWS Systems Manager コンソールを開きますhttps://console.aws.amazon.com/systems-manager/

  2. [ノード管理] で、[コマンドを実行する] を選択し、[コマンドを実行する] を選択します。

  3. AWS-RunPatchBaseline のオプションを選択します。

  4. [Operation] (オペレーション) を [Install] (インストール) に変更します。

  5. [インスタンスを手動で選択する] を選択し、非準拠のインスタンスを選択します。

  6. [実行] を選択します。

  7. コマンドの完了後に、パッチを適用したインスタンスの新しいコンプライアンスステータスをモニタリングするには、ナビゲーションペインで [コンプライアンス] を選択します。

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::SSM::AssociationCompliance

AWS Config ルール : ec2-managedinstance-association-compliance-status-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、 AWS Systems Manager 関連付けコンプライアンスのステータスが であるかCOMPLIANT、インスタンスで関連付けが実行されNON_COMPLIANTた後であるかをチェックします。関連付けのコンプライアンスステータスが NON_COMPLIANT の場合、コントロールは失敗します。

State Manager の関連付けは、マネージドインスタンスに割り当てられる設定です。この設定では、インスタンスで維持する状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアをインスタンス上にインストールして実行する必要があること、または特定のポートを閉じる必要があることを指定できます。

State Manager の関連付けを 1 つまたは複数作成することで、コンプライアンスステータス情報をすぐに表示できるようになります。コンプライアンスステータスは、コンソールで、または AWS CLI コマンドや対応する Systems Manager APIアクションに応答して表示できます。関連付けでは、設定コンプライアンスはコンプライアンスステータスを表示します (Compliant または Non-compliant)。また、関連付けに割り当てられた Critical または Medium などの重要度レベルを表示します。

State Manager 関連付けのコンプライアンスの詳細については、「AWS Systems Manager ユーザーガイド」の「State Manager 関連付けのコンプライアンスについて」を参照してください。

修正

失敗した関連付けは、ターゲットや Systems Manager ドキュメント名など、さまざまなモノに関連付けることができます。この問題を修正するには、まず関連付けの履歴を表示し、関連付けを特定して調査する必要があります。関連付けの履歴を表示するには、「AWS Systems Manager ユーザーガイド」の「関連付けの履歴の表示」を参照してください。

調査後、関連付けを編集して特定された問題を修正できます。関連付けを編集して、新しい名前やスケジュール、重要度レベル、ターゲットを指定できます。関連付けを編集すると、 は新しいバージョン AWS Systems Manager を作成します。関連付けの編集については、「AWS Systems Manager ユーザーガイド」の「関連付けの編集と新しいバージョンの作成」を参照してください。

〔SSM.4] SSMドキュメントは公開しないでください

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、.800-53.r5 SC-7(20)、NIST.NIST800-53.r5 SC-7(21)、NIST.8000-5 SC-7-5 NIST SC-7 NIST SC-7

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 非常事態

リソースタイプ: AWS::SSM::Document

AWS Config ルール: ssm-document-not-public

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、アカウントが所有する AWS Systems Manager ドキュメントがパブリックかどうかをチェックします。所有者を持つ Systems Manager ドキュメントがパブリックの場合、このコントロールSelfは失敗します。

公開されている Systems Manager ドキュメントでは、ドキュメントへの意図しないアクセスが許可される場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、内部プロセスに関する貴重な情報を公開する可能性があります。

ユースケースでパブリック共有が必要な場合を除き、Self が所有する Systems Manager ドキュメントのパブリック共有設定をブロックすることを推奨します。

修正

Systems Manager ドキュメントのパブリック共有をブロックするには、「 ユーザーガイド」のSSM「ドキュメントのパブリック共有をブロックAWS Systems Manager する」を参照してください。